Runecast Analyzer: Konfigurationsfehler und Inkompatibilitäten in VMware-Umgebungen erkennen

    Runecast AnalyzerRunecast Analyzer ist ein Tool zur auto­matisierten Ana­lyse potenzieller Fehler­quellen in VMware-Instal­lationen. Der Admini­strator kann damit vSphere, vSAN, NSX oder Horizon auf fehlende Patches, Inkom­patibili­täten oder Fehl­konfi­gurationen unter­suchen. Runecast nutzt dafür Quellen wie die VMware Knowledge­base.*

    In den vergangenen Jahren sind VMware-Umgebungen immer komplexer geworden, weil vSphere kontinuierlich um neue Funktionen, beispielsweise für Netzwerk- und Storage-Virtualisierung, erweitert wurde. VMware selbst hat zwar leistungs­fähige Management-Werkzeuge wie vRealize Operations Manager (vCOPS ) oder Log lnsight, deren Lizenzkosten sind aber für kleinere Unter­nehmen meist zu hoch.

    Außerdem liegt der Fokus von vCOPS eher auf dem Operations Management und der von Log Insight bei der Performance- und Fehler­analyse. Daher helfen diese Tools nur bedingt, wenn Bugs, Inkom­patibilitäten, Treiber oder fehlerhafte Konfigurationen zu Problemen führen.

    Proaktive Analyse

    Sämtliche Konfigurations­mängel und Sicherheits­risiken einer komplexen VMware-Umgebung selbst zu erkennen, ist eine beinahe unlösbare Aufgabe. Meist scheitert es schon daran, sämtliche relevanten Informationen zu finden und auszu­werten.

    Der proaktive Ansatz von Runecast folgt der Erkenntnis, dass 90 Prozent aller vSphere-Probleme auf dokumentierte, also bekannte Ursachen zurückzuführen sind. Daher beruht die Leistungs­fähigkeit von Runcecast vor allem in der Anzahl und Qualität der genutzten Quellen.

    Vertrauenswürdige Quellen

    Runecast scannt die Virtualisierungs­umgebung einschließlich vSAN, NSX sowie Horizon und prüft das Ergebnis gegen seine Wissens­datenbank. Außerdem nutzt Runecast der vSphere-API zum Auslesen von Konfigu­rationen, Versions­nummern oder Hardware-Informationen.

    Die Datenbasis speist sich aus insgesamt sechs Quellen, angefangen von der VMware Config Knowledge Base (KB) bis hin zu den von VMware empfohlenen Best Practices. Allein die KB enthält aktuell über 46000 Artikel mit Hinweisen. Darin zeigt sich, wie aufwändig eine manuelle Prüfung wäre.

    Runecast Analyzer ermittelt Fehlkonfigurationen unter anderem auf Basis der VMware-Knowledgebase.

    Weitere vier Quellen befassen sich ausschließlich mit dem Thema Härtung. Hier dient der VMware Security Hardening Guide als Basis, ergänzt von den Sicherheits­vorgaben des Security Technical Implementation Guide (DISA STIG) und den PCI-DSS-Richtlinien (Payment Card Industry Data Security Standard) und HIPAA (Health Insurance Portability and Accountability Act).

    Kunden aus dem Finanz­sektor können mit Runecast auch prüfen, ob die VMware-Umgebung den PCI-DSS-Standard einhält. In der neuen Version 3.1 berücksichtigt Runecast außerdem noch die IT-Grundschutz­empfehlungen des BSI.

    Administratoren können entscheiden, welche Profile sie für die Analyse verwenden möchten.

    Administratoren können aber frei konfigurieren, welche Quellen sie überhaupt verwenden möchten und auch innerhalb der Quellen von vorneherein nach Schweregrad filtern oder entscheiden, ob sie sich auf VMs, vCenter oder Hosts beziehen sollen.

    Log-Analyse

    Zusätzlich zum Prüfen der System­konfiguration untersucht Runecast auf Wunsch auch die Logfiles. Dazu muss der Analyzer als Syslog-Server konfiguriert werden, um die Logs der beteiligen Systeme einsammeln zu können.

    Eine weitere Voraussetzung ist, dass auf den Hosts oder VMs die Syslog-Funktion aktiviert wurde. Runecast kann dies selbst erledigen, so dass eine manuelle Konfiguration entfällt. Alternativ bringt das Tool ein PowerShell-Script für diese Aufgabe mit. Die Einstellungen hierzu (Runecast als Syslog-Ziel auf RDP 514 für jeden Host) finden sich unter Settings => Log Analysis.

    Hosts lassen sich aus Runecast Analyzer für die Log-Analyse durch Konfigurieren von Syslog vorbereiten.

    Die Log-Dateien wertet Runecast Analyzer dann gegen die VMware-Log-KB (im Gegensatz zum oben erwähnten Config-KB) aus. Die Appliance speichert nicht alle Logs, sondern nur die auf Risiken hin­weisenden Einträge. Sie löscht zudem ältere Logs nach 30 Tagen automatisch oder wenn das Gesamt­volumen 30 GB überschreitet. Beide Werte kann man bei Bedarf anpassen.

    Einfache Einrichtung als Appliance (OVA)

    Die Inbetrieb­nahme von Runecast ist einfach, da der Hersteller die App in Form einer nur knapp 1,2 GB kleinen virtuellen Appliance zur Verfügung stellt. Sie lässt sich wie gewohnt über den vSphere-Client in die vorhandene Umgebung importieren.

    Zu konfigurieren ist dabei erfreulich wenig. Der Admin muss neben Host und Datastore nur eine Deployment-Größe (small, medium oder large) festlegen. Small reicht für Umgebungen mit bis zu 10 Hosts, wobei die VM dann 2 vCPUs dann 4GB Memory konsumiert.

    Die Netzwerkeinstellungen für das Appliance lassen sich am Ende des OVA-Imports festlegen.

    Außerdem muss noch die Portgruppe für das VM-Netzwerk ausgewählt werden. Wer möchte, kann die Netzwerk­einstellungen der Appliance (Default ist DHCP) im letzten Schritt des OVA-Bereitstellungs­assistenten anpassen. Sie lassen sich auch später noch ändern, aber nicht in der Web-GUI, sondern nur an der Appliance-Konsole mit dem User rcadmin und dem Passwort admin.

    Ersteinrichtung

    Updates für die Wissens­datenbank kann das System automatisch über das lnternet oder manuell über eine ISO- Datei beziehen. Dieser Vorgang lässt sich unter Settings => Update aus der Web-GUI anstoßen.

    Die Wissensdatenbank lässt sich online oder über eine ISO-Datei aktualisieren.

    Die Analyse erfolgt beim Anwender, ohne dass Daten in die Cloud übertragen werden. Dem Versenden anonymisierter Daten zu Zwecken der Produkt­verbesserung kann der Nutzer allenfalls explizit zustimmen.

    Der Runecast Analyzer benötigt Zugriff auf vCenter, allerdings reicht dabei ein User mit Leserechten, weil das Tool dort keine Änderungen vornimmt. Die erstmalige Verbindung zu vCenter erfolgt im Verlauf der ersten Anmeldung an der Web-GUI mit den vorgegebenen Credentials rcuser/Runecast!.

    Runecast Analyzer mit vCenter für den Lesezugriff verbinden

    Dabei kann man auch festlegen, in welchen zeitlichen Abständen ein Scan erfolgen soll oder ob man diesen manuell ausführen möchte.

    Nach der ersten Anmeldung sollte man unter Settings einige Einstellungen anpassen, zum Beispiel den Default-User unter User Profile durch einen anderen ersetzen oder zumindest dessen Passwort ändern.

    Zugriffs­berechtigungen auf die GUI lassen sich wahlweise über die lokale Benutzer­datenbank oder eine AD-Anbindung vergeben. Findet das System zudem einen NSX-Manager, fragt die Appliance von sich aus die relevanten Verbindungs­einstellungen ab.

    Der Zugriff lässt sich über lokale oder AD-User regeln.

    Runecast kann auch Horizon-Umgebungen analysieren. Dazu muss man allerdings in der Web-GUI unter Settings Connections neben dem zuvor eingerichteten vCenter-Connector mit der Schaltfläche Add Horizon einen Connector selbst hinzufügen.

    Arbeiten mit Runecast

    Ausgangs­punkt der Arbeit mit Runecast ist das Dashboard, das sich nicht anpassen lässt. Es zeigt in verschiedenen Diagrammen die ermittelten Risiken, gruppiert nach verschiedenen Aspekten. Dazu zählen der Schweregrad (Critical, Major, Medium und Low), die Betriebsebene (Management, VM, Compute, Network und Storage) oder die betroffenen Hosts.

    Das Dashboard bietet einen Überblick über die ermittelten Risiken.

    Neben dem Dashboard finden sich im Menü noch die Detailansichten Inventory View und All Issues View. Letztere konzentriert sich gezielt auf Risiken und zeigt, auf welchen Instanzen welche Gefahren mit welchem Schwergrad ermittelt wurden. Ergänzend zeigt der obere Teil des Fensters einen aggregierten zeitlichen Verlauf der Risiken über die letzten Tage.

     Die Ansicht über alle gefundenen Risiken

    Bei jedem einzelnen Issue kann man mit einem Klick auf das Plus-Symbol zur Detailansicht wechseln. Sie listet nicht nur die Einzelheiten auf, sondern zeigt im Reiter Findings auch die betroffenen Objekte.

    Aus der Detailansicht eines erkannten Problems geht hervor, welche Objekte davon betroffen sind.

    So erkennt der Administrator zum Beispiel, dass Network-Healthchecks für Distributed vSwitch aktiviert sind, die nach der Empfehlung von VMware aber nur für Troubleshooting-Zwecke eingeschaltet werden sollten.

    Die Inventory View orientiert sich an den Instanzen, sie gruppiert also Risiken nach Hosts, VMs oder Datastores. Sie bietet die Möglichkeit, sich gezielt durch den Objektbaum zu bewegen. Die Baumansicht zeigt dabei aber bereits die Anzahl der Risiken pro Objekt.

    Die Inventory View gruppiert Risiken nach VMware-Objekttypen.

    Von hier kann man dann für jede Instanz in die Detail-Ansicht abtauchen.

    Detailansicht in der Inventory View

    Auf Wunsch versendet die Appliance das Analyseresultat per E-Mail, sofern SMTP in den Einstellungen konfiguriert wurde. Runecast bringt aber auch eine REST-API mit, so dass sich der Analyzer auch mit anderen Tools abfragen lässt, beispiels­weise mit dem Orchestrator für übergreifende Automatisierungs-Workflows.

    Für das Web Client Plug-in benötigt man ein API Access Token.

    Für solche Fälle kann man in den Settings ein API Access Token zur Authentifizierung erzeugen. Dieses benötigt man auch dann, wenn der Admin statt der Web-GUI das Plug-in für den vSphere Client nutzen möchte. Dieses lässt sich einfach in der Web-GUI beim vCenter-Connector unter Connections in der Spalte Actions mit Install Plugin einrichten.

    Die Authentifizierung für das Plug-in erfordert die Eingabe eines API Access Tokens.

    Ist das geschehen, zeigt der vSphere Client bei Objekten wie Datacenter, Host, VM oder Datastore auf der Registerkarte Monitor einen Abschnitt Runecast Analyzer.

    Gefundene Mängel der vSphere-Konfiguration im vSphere Client anzeigen

    Runecast 3.1

    Die Version 3.x führte einige spannende Funktionen ein. So bietet sie eine aggregierte Ansicht der vSAN-Datenträger­informationen. Admins können damit die Firmware-Version, Tier, Modell­nummer (die ESXi auf 16 Zeichen kürzt) und den Controller, mit dem der Datenträger verbunden ist, an einem Ort finden.

    Darüber hinaus können alle Upgrade-Informationen in eine CSV-Datei exportiert werden, um detailliertere Berichte zu Treibern, Firmware und anderen Aspekten von vSAN zu erstellen.

    Überprüfung von ESXi-Hosts auf ihre Upgrade-Fähigkeit

    Mit dabei ist auch eine neue Version der ESXi-Host-Upgrade-Simulation, die Systeme anhand der Hardware-Kompatibilitäts­liste (HCL) von VMware überprüft. Sie unterstützt nun auch vSAN. Administratoren erhalten damit wichtige Hinweise auf die Zuverlässigkeit und potenzielle Probleme ihrer Umgebung nach einem Upgrade.

    Fazit

    Die Funktionen von Runecast überschneiden sich in einigen Bereichen mit vCOPS und Log Insight, kann diese aber nicht ersetzen. So ist es etwa nicht seine Aufgabe, hohe System­auslastungen zu erkennen. Insofern bietet sich das Tool als Ergänzung zu vorhandenen Überwachungs- und Management-Tools an.

    Dafür findet Runecast wiederum Probleme, die sich mit anderen Tools ungleich schwerer aufdecken lassen. So kann es durch Vergleichen der bestehenden Konfiguration mit der Knowledge Base Probleme abfangen, bevor diese tatsächlich auftreten.

    Auch bei Runecast muss der Admin die vorgeschlagenen Änderungen selbst umsetzen, das Tool wird ja standard­mäßig nur mit Leserechten konfiguriert. Wer mehr Automatisierung will, könnte etwa über vRealize Orchestrator einen Workflow anstoßen und dafür die in Runecast Analyzer enthaltene Rest-API nutzen.

    Insgesamt spart Runecast dem Administrator im Alltag viel Zeit durch die proaktive Problem­erkennung.

    Verfügbarkeit

    Die Appliance kann von der Website des Herstellers heruntergeladen werden. Hat man keine Lizenzdatei, dann lässt sie sich funktional eingeschränkt als zweiwöchige Trial-Version nutzen (es fehlen einige Detailansichten).

    Die kurze Trial-Periode ist nachvollziehbar, weil Runecast ein Tool ist, das man ohnehin nur bei Bedarf laufen lässt (etwa einmal pro Woche), um eine aktualisierte Analyse zu bekommen. Eine vorhandene Lizenz kann man später unter Settings => Licenses einspielen und dabei den Hosts zuweisen.

    *Dieser Text ist ein bezahlter Beitrag von Runecast.